sprintf tě neochrání! Nahrazuje pouze %s
musíte mysql_real_escape_string, takže:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
je bezpečnější injekce
poznámka:Navrhuji, abyste se podívali na CHOP , to je to, co rád používám pro DBconections a dotazy